Digiloikka edellyttää digiturvaa!

March 28, 2021
”Tämä uusi kausiflunssa on taputeltu kesään mennessä” – näin minulle vuosi sitten alkuvuodesta eri kanavista toitotettiin. Innoissani suunnittelin kesän lomamatkoja. Muutenkin uusi vuosikymmen näytti olevan täynnä uusia, mielenkiintoisia mahdollisuuksia. Kuinkas kävikään? Väittämä voi hyvin edelleen pitää paikkansa, kunhan vielä sovitaan, minkä vuoden kesään mennessä. Itse ikuisena optimistina uskon, että korona väistyy samalla tavalla tänäkin vuonna kesään mennessä kuin viime vuonna, ja vaikka rokotukset eivät ole täyttäneet niille asetettuja odotuksia, ne hidastavat merkittävästi koronaviruspandemian vaikutuksia tulevana syksynä. Eli tämän perusteella kenties vuosi 2022 käynnistääkin nyt vihdoin odotetun vuosikymmenen. Kuten vuosikymmen alkoi, päätin aloittaa kirjoituksenikin hieman normaalista poiketen.

Pakko on paras konsultti

Olemme kaikki lukeneet omasta erinomaisuudestamme siinä, kuinka hyvin Suomi pystyi ottamaan kuuluisan digiloikan, jossa sadat tuhannet työntekijät, koululaiset, opiskelijat siirtyivät etätöihin ja opiskelemaan kotoa. Tässä voimme taputtaa itse kutakin olkapäille, meidän tietoliikenne- ja palveluntarjoajamme olivat valmiita tarvittaviin skaalauksiin kapasiteettien osalta, logistiikkaketjut hoitivat niin ruokaa kuin ICT-tarvikkeita ainakin pienellä viiveellä joka Suomen nurkkaan ja notkoon.
Tämä toimintaympäristön muutos oli niin nopea, että jopa aina ketterillä verkkorikollisilla kesti tovin, ennen kuin he saivat prosessinsa kuntoon.
Paitsi wc-paperia, josta tuli ainakin osin globaali, henkinen kriisi. Tällaista venymistä ei ole tapahtunut varmaan sitten toisen maailmansodan, nyt fyysis-analogisen maailman sijaan tämä toteutettiin digitaalisessa toimintaympäristössä. Voidaan siten hyvin sanoa, että ystävällisen ohjauksen, suositusten ja toiveiden sijaan, kun nyt oli *pakko* kehittää ennen näkemättömän nopeasti prosesseja, me onnistuimme siinä ei hyvin, vaan osin erittäin hyvin. Mielestäni teemaan kuuluu hyvänä esimerkkinä uudenlaiset ajan ilmiöt, meemi-kulttuuri, Teams-kokouksiin liittyvät meedio-kyselyt (Oletko se sinä, Kimmo?) ja onko sinulla uusi vai vanha käsi, mutta nämä ovat kaikki uuteen toimintakulttuuriin liittyviä ajan ilmiöitä.

Jopa verkkorikolliset tippuivat kyydistä

Tämä toimintaympäristön muutos oli niin nopea, että jopa aina ketterillä verkkorikollisilla kesti tovin, ennen kuin he saivat prosessinsa kuntoon ja korjattua huijausviestinsä ja mekanisminsa korona-aiheisiksi. Eräs selkeä huolenaihe on edelleen se, että osana etätyöskentelyä on saatettu joutua joustamaan tietoturvallisuuden tai henkilötietojen käsittelyn ohjeistuksissa verrattuna koronaviruspandemiaa edeltäneeseen aikakauteen. Samoin rikolliset ja valtiolliset toimijat skannaavat verkkoympäristöjä ennen näkemättömällä innolla hakien haavoittuvia laitteita ja päätelaitteita, joiden kautta saadaan haltuun päätelaitteita, palvelimia tai pahimmillaan kokonaisia ICT-ympäristöjä. Tämä korostaa meidän kaikkien vastuuta, emme toimi enää työnantajan meille rakentamissa turvallisissa toimitiloissa ja yhdyskäytävätason turvaratkaisujen takana vaan osin villissä ja turvattomassa internet-verkossa kotona.

Digiloikka edellyttää digiturvaloikkaa

Muutaman kuukauden – tai nyt vuoden jälkeen voidaan todeta, että olemme uudistaneet toimintaamme reippaammin kuin millään perinteisellä ohjausmallilla olisi ollut mahdollista, kiitos globaalin pandemian. Vaikka ICT-palveluitamme on uudistettu vauhdilla, onko samalla huolehdittu riskienhallinnan, toiminnan jatkuvuuden ja varautumisen, tietoturvallisuuden ja tietosuojan kehittämisestä vastaavalla tavalla? Uskallan väittää, että ei ihan samalla intensiteetillä. Eräs keskeinen syy tähän on siinä, että em. osa-alueet sisältävästä digitaalisesta turvallisuudesta huolehtiminen tuntuu osassa organisaatioissa hieman toissijaiselta, koska kuvitellaan, että meillä on asiat riittävä hyvin ja kun mitään ei ole koskaan tapahtunut. Jos koskaan, niin nyt jokaisessa organisaatiossa pitäisi herätyskellojen soida. Tietoverkkorikolliset ovat löytäneet uudenlaisen keinon rahastaa eli kiristää organisaatioita – siis he ovat kehittäneet uuden liiketoimintamallin. Vanha malli oli se, että he murtautuvat organisaation verkkoon ja ottivat haltuun ICT-toimintaympäristön lukiten palvelimilla ja päätelaitteilla olevat tiedot salaamalla ne ja kiristivät sillä, että teidän liiketoimintanne ei jatku, ennen kuin saamme rahaa. Uhrit totesivat ”Emme maksa – koska emme myöskään neuvottele terroristien kanssa” ja sitten vain palautetaan backupit (kädet ristissä). Koska tämä menetelmä ei tuottanut riittävän hyvää tulosta rikollisille, viime vuonna yleistyi uusi toimintamalli – tiedolla kiristäminen. Tietoverkkorikolliset kaappasivat organisaation kriittisen tiedon haltuunsa, jonka jälkeen siitä on saatettu toimittaa kohdeorganisaatiolle, pahimmillaan myös julkisuuteen sopiva maistiainen, ja kiristetty tietojen avoimella julkaisemisella. Jatkossa voidaan odottaa vielä sitä, että rikolliset toteuttavat tästä hybridin, kaappaamalla tiedot haltuun, sopivalla tavalla muuttamalla järjestelmissä olevia tietoja pitemmällä aikavälillä ja korruptoiden niistä syntyviä varmuuskopioida saatetaan saada aikaan se tilanne, että organisaatiolla ei olekaan enää keinoa palauttaa toiminnan edellyttämä, tarvittava tieto – se on luotettavassa muodossa ainoastaan rikollisilla. Tämän takia toivon, että nyt jokaisessa organisaatiossa mietitään ja harjoitellaan, mitä tällainen onnistunut hyökkäys voisi saada aikaan ja kuinka siihen tulee varautua. Jos organisaatio ei ole koestanut omaa tietoturvallisuuttaan ulkoisilla hyökkäyksillä tai skannauksilla, suosittelen nyt vahvasti sellaisten tekemistä. Jos organisaation tilaama ulkopuolinen, laillisesti tehtävän suorittava taho pystyy murtautumaan ja vaikuttamaan organisaation toimintaan, samaan pystyvät tietoverkkorikolliset. Nyt ei ole syytä laittaa päätä pensaaseen vaan nimenomaan katse verkkoihin ja palvelinympäristöihin sekä selvittää, mitä pinnan alla oikeasti tapahtuu. Ja jos olette ulkoistaneet toimintaanne, saatteko sopimusten mukaista turvallisuutta?

Entä tulevaisuus – mihin meidän pitäisi varautua?

Millainen voisi olla meidän seuraava megakrii­si, jopa musta joutsen? Globaali digitaalinen toimin­taympäristömme kokee uudenlaisia häiriöitä ja hyökkäyksiä 2020-luvul­la, esimerkiksi internet-verkon saatavuuden osalta. Emme kuitenkaan joudu kaivamaan kirjoituskoneita ja fakseja esille, mutta joka tapauksessa olemme jälleen silloin uuden tilanteen äärellä.  Nyt kannattaa ottaa koronan ja muiden toteutuneiden uhkien opit käyttöön ja on kehittämisen aika! Turvallinen yhteiskunta luodaan #yhdessä.
Teksti: Kimmo Rousku Kimmo Rousku toimii Digi- ja väestötietovirastossa johtavana erityisasiantuntijana ja VAHTI-johtoryhmän pääsihteerinä. Tämän ohella hän toimii vapaa-ajalla tietokirjailijana, luennoitsijana ja kouluttajana sekä Tietoturva ry:n hallituksen jäsenenä.
Jaa tämä kirjoitus
Arkistoi